En 2025, le Droit à Suppression selon l'art. 17 RGPD au centre d'un examen paneuropéen des autorités de contrôle de la protection des données. Dans le cadre du Cadre d'application coordonné (CEF) du Comité européen de la protection des données (CEPD), les entreprises et les organismes publics sont passés au crible. Pour Responsable il est donc urgent de se préparer stratégiquement à d'éventuelles mesures de contrôle dans le cadre de l'action CEF 2025.
Quel est l'objectif de l'action CEF 2025 ?
L'action CEF 2025 a pour objectif de garantir une mise en œuvre uniforme et efficace du droit à l'éducation dans toute l'UE. Suppression selon l'art. 17 RGPD de promouvoir l'égalité des chances. La question centrale est de savoir si et comment Responsable mettent en œuvre ce droit central des personnes concernées dans la pratique. L'initiative de contrôle coordonnée ne sert pas seulement au contrôle, mais aussi à l'échange d'expériences entre les autorités de contrôle et à la sensibilisation des entreprises et des organismes publics aux exigences en matière de protection des données.
Le choix du thème "Droit à la SuppressionL'objectif de "protection des données" pour 2025 est particulièrement pertinent, car il fait partie des droits des personnes concernées les plus fréquemment invoqués et représente en même temps un défi opérationnel considérable pour les responsables. Il ne s'agit pas seulement de répondre aux demandes de suppression, mais aussi d'ancrer structurellement les processus de suppression dans les systèmes informatiques, les processus de travail et les structures de conformité. Il s'agit d'examiner dans quelle mesure Responsable
- traiter correctement et efficacement les demandes de suppression
- Appliquer correctement les exceptions au droit de suppression,
- mettre en œuvre systématiquement des concepts internes d'effacement
- et informer les personnes concernées de manière transparente.
Les autorités de contrôle de la protection des données participantes utilisent des questionnaires standardisés dans toute l'Europe afin d'obtenir des résultats comparables. Ceux-ci peuvent être complétés par des entretiens approfondis, des analyses de documents ou des audits sur place. L'objectif est de rassembler les résultats à la suite des audits, d'identifier les points faibles systématiques et, le cas échéant, de formuler des recommandations ou des Lignes directrices pour les responsables.
Les résultats obtenus sont évalués et publiés de manière centralisée.
Droit à l'effacement conformément aux articles 17 et 19 du RGPD
Le droit à Suppression est en Art. 17 RGPD et fait partie des principaux droits des personnes concernées. Il oblige le responsable du traitement à données à caractère personnel être immédiatement supprimées sous certaines conditions.
- 17 al. 1 RGPD énumère les conditions matérielles d'un droit à l'effacement. Il s'agit notamment de la disparition de la finalité (les données ne sont plus nécessaires aux fins initiales), de la Révocation d'une Consentement, qui Opposition contre les Traitement conformément à l'art. 21 RGPDune violation de la loi Traitement ou des obligations légales de suppression.
- 17 al. 3 RGPD réglemente les exceptions au droit à l'effacement. Il s'agit notamment des obligations légales de conservation, des intérêts publics prépondérants, des fins d'archivage dans l'intérêt public et de la constatation, de l'exercice ou de la défense de droits en justice. Dans la pratique, ces exceptions doivent être soigneusement examinées et documentées afin de résister à un contrôle prudentiel.
- 19 RGPD oblige Responsable en outre, tous les bénéficiaires auxquels données à caractère personnel de l'information qui a été donnée Suppression à moins que cela ne s'avère impossible ou n'implique des efforts disproportionnés. Cette obligation d'information contribue à garantir la portée du droit à l'effacement également en cas de transfert de données.
Un aspect souvent sous-estimé est le lien étroit avec le Droit d'opposition selon l'art. 21 RGPDnotamment en ce qui concerne la publicité directe. Un traitement autorisé Opposition conduit souvent directement à un droit à l'effacement, de sorte que les deux droits doivent être pensés et mis en œuvre conjointement dans la pratique.
Pertinence de l'action CEF 2025 pour les entreprises et les pouvoirs publics
L'action du CEF 2025 pose des défis aux entreprises et aux pouvoirs publics, en particulier lorsqu'ils doivent régulièrement données à caractère personnel traiter les données. Presque tous les secteurs sont concernés, de la santé aux prestataires de services financiers et d'assurance, en passant par les fournisseurs de commerce électronique et les autorités. Les cabinets d'avocats ont également déjà reçu des questionnaires.
L'absence ou l'insuffisance de mise en œuvre de processus de suppression systématiques constitue un facteur de risque. De nombreuses organisations disposent certes de directives qui garantissent le droit à l'effacement des données. Suppression mais se heurtent à la mise en œuvre pratique. Souvent, les systèmes ne sont pas en mesure d'effacer complètement les données ou il n'existe pas de responsabilités claires pour le traitement des demandes d'effacement. A cela s'ajoute le fait que les exceptions prévues à l'art. 17, al. 3 RGPD comme les délais de conservation légaux ou intérêts légitimes ne sont pas proprement documentées ou sont appliquées de manière trop globale.
En outre, les organisations sont de plus en plus tenues de prouver aux personnes concernées et aux autorités de contrôle que les demandes d'effacement ont été traitées dans les délais, de manière compréhensible et conformément à la protection des données. Dans le cadre de l'action CEF 2025, les autorités demandent ces preuves de manière ciblée. Cela concerne aussi bien les processus internes que la collaboration avec les prestataires de services externes et les sous-traitants.
Conseil de lecture : Gestion intégrée des risques dans la pratique - combiner protection des données, conformité et sécurité
Sept recommandations stratégiques pour se préparer
- Vérifier la capacité de suppression : Responsable devraient procéder à un inventaire systématique de tous les systèmes de traitement des données. Il faut documenter clairement où les données sont stockées et si elles peuvent être entièrement supprimées, y compris dans le contexte des sauvegardes ou des services en nuage.
- Concept d'effacement et définir des délais : Un système interne Concept d'effacement doit définir clairement quelles données à caractère personnel doivent être supprimées et à quel moment. Les obligations légales de conservation (par ex. HGB, AO, SGB) doivent être prises en compte, tout comme les exigences spécifiques au secteur.
- Registre des activités de traitement (VVT) doivent être mises à jour : Le VVT doit contenir des informations sur les délais de conservation et de suppression, les finalités du traitement et les responsabilités. Il sert de document justificatif central dans le cadre de l'audit du CEF.
- Transparence vis-à-vis des personnes concernées : Les déclarations de protection des données devraient mentionner le droit Suppression de manière compréhensible. Parallèlement, il convient d'établir un processus structuré pour le traitement des demandes - y compris des modèles de réponse standardisés, y compris pour les refus dans des cas exceptionnels.
- Clarifier les formations et les responsabilités : Les collaborateurs occupant des fonctions liées à la protection des données - en particulier dans l'informatique, les RH et le service clientèle - devraient être formés régulièrement. Les responsabilités et les voies d'escalade en cas de demandes de suppression devraient être clairement définies en interne.
- Vérifier les contrats avec les sous-traitants : Les contrats de sous-traitance doivent contenir des règles claires sur l'effacement des données, notamment après la fin du contrat. En outre, il convient de s'assurer que les sous-traitants sont eux-mêmes responsables de l'intégralité des données. Suppression et de le documenter.
- Préparation aux demandes des autorités : il est recommandé de procéder à des concertations internes précoces avec les responsables de la protection des données et les responsables de la conformité. Il convient de définir un point de contact central pour les demandes de protection des données, qui puisse réagir rapidement en cas d'audit du CEF.
Questions typiques sur l'action CEF 2025 et le self-check
Le médiateur national pour le Protection des données et la liberté d'information du Bade-Wurtemberg a envoyé le questionnaire de l'action européenne sur le droit à l'information. Suppression en ligne. Les questions typiques sont par exemple
- "Comment votre organisation juge-t-elle que données à caractère personnel (qui font l'objet d'une demande d'effacement) ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière [article 17, paragraphe 1, point a)]. RGPD) ?"
- "Comment votre organisation procède-t-elle lorsque concernés personne son Consentement révoque (art. 17, paragraphe 1, point b), de la loi) RGPD) ?"
- "Comment votre organisation procède-t-elle lorsque concernés personne de Traitement est contraire à l'article 17, paragraphe 1, point c), de la directive sur l'égalité raciale. RGPD) ?"
- "En cas de demande d'effacement, votre organisation s'est-elle engagée, sur la base de l'article 17, paragraphe 1, point c), à respecter les dispositions de la présente directive ? RGPD jamais refusé de fournir des données sur la base de ses "motifs légitimes prédominants pour la Traitement" à supprimer ? Comment comprenez-vous la notion de "motifs légitimes prépondérants" et comment ces motifs sont-ils conciliés avec les intérêts, les droits et les libertés des personnes concernées ? Veuillez décrire en détail les cas que vous avez rencontrés, y compris les mises en balance effectuées dans chaque cas".
Conseil de lien : Self-Check en ligne sur l'article 17 du RGPD du commissaire à la protection des données et à la liberté d'information du Land de Bade-Wurtemberg
Les entreprises peuvent donc se préparer de manière ciblée à l'action de contrôle.
Si vous avez besoin d'aide pour la mise en œuvre d'un concept d'effacement ou si vous souhaitez identifier d'éventuels points faibles et y remédier de manière ciblée, n'hésitez pas à nous contacter. Nos experts en protection des données vous aideront.
☎️ +49 (228) 926165-100
📧paris@2b-advice.com
German 
English 
Italian 
French